病毒特征
Funlove病毒全称WIN32.FunLove.4099,该病毒中包含文本串,"Fun Loving Criminal"。FunLove是一个非危险(破坏)性的内存驻留的WIN32病毒,它感染本地驱动器和网络驱动器上的PE格式文件,因为有网络传播能力,它可以一个感染的工作站为基地,通过对当前用户写授权的网络资源进行传播。虽然funlove病毒对数据没有直接的破坏性,但也会占用系统资源,降低运行速度。
受影响的系统
Win9X,Win2k/NT
感染机制
当一个感染了FunLove的病毒文件运行时,会在windows的SYSTEM目录下创造一个名为FLCSS.EXE的文件,写入病毒体本身,并运行之。这个病毒的拆离体(FLCSS.EXE),是一个WIN32的PE格式文件,这个文件在WIN9X系统下运行时是一个隐含的进程,而在NT系统下运行时则作为一个服务例程,并且传染例程取得控制权。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。当感染一个文件时,该病毒将其代码写到文件的尾部并且添加启动程序(8字节长的代码)将控制权传递给病毒体。当被激活,病毒将首先恢复这8字节的代码然后运行它的主程序。只有在当前染毒的工作站用户具有对网络资源写访问权利的时候病毒才能感染其中的PE文件,这样就在相当程度上限制了病毒的传播。
病毒在感染的时候检查文件名,它不感染以下列4个字母开始的文件:ALER、AMON、_AVP、 AVP3、AVPM、F-PR、NAVW、SCAN、SMSS、DDHE、DPLA、MPLA。
这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe,尽管该病毒对数据没有直接的破坏性,但是在NT下,Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改,使得文件的许可请求总是返回允许访问,这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上,所有的用户都拥有了对每一个文件的完全控制访问权,即使是在系统中可能拥有最低权限的GUEST,也能读取或修改所有文件,包括通常只有管理员才能访问的文件。在NT启动时,NTLDR将检测NTOSKRNL.EXE 的完整性,所以病毒也修改NTLDR,因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包中起作用,但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后,需要用备份文件对这些被修改的文件进行恢复,或者重新安装这些文件。被修补的文件不可以恢复只能通过备份来恢复。
解决方案
Win9X:
1.断开网络,备份重要文件
2.将病毒生成的FLCSS.exe文件删除
3.用启动盘引导系统,在DOS下查杀
Win2K/NT
WINDOWS/NT/2000系统的NTFS硬盘分区患有此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS/NT/2000系统下又杀不干净病毒。
1.断开网络,备份重要文件将,病毒生成的FLCSS.exe文件删除
2.将患毒的硬盘挂接在无毒的机器上做为副盘
3.用无毒的主盘引导机器后,查杀副盘中的病毒。
|
论坛用户
论坛用户
论坛用户
论坛用户
论坛用户
论坛: 病毒专区
标题: 网吧中毒!除了重做系统还有没有别的高招?